记一次“Github雇佣意向”钓鱼邮件

今早起床后，朦朦胧胧拿起手机，收到一封邮件：

我震惊了。这是怎么回事？Github发邮件让我入职？我一没投过简历，二没面试过，三没深度参与Github本身的运营，哪来的这个机会？点开一看：

180000美元的薪资，医疗保险覆盖，退休金计划，弹性工作计划，慷慨的假期，专业的开发机会，美好得像做梦。 但是那正常吗？ 我比较有理智，这封邮件至少有三个疑点，第一标题很奇怪，是回复某个issue的标题 ；第二发给我很奇怪，因为我是作为抄送人收到的，正常的雇佣流程，我应该作为收件人；第三是邮件末尾，@了一些人，点进去发现都是github上普通的开发者。 初步结论是是诈骗邮件，警觉性上来了，于是我搜查了一番，发现两天前起就有人陆陆续续地收到了这封邮件：

事已至此，基本可以确定，这是一封钓鱼邮件了。 诈骗的事情告一段落，再来看看这封邮件本身: 邮件头里，所有鉴权都是通过的，结合域名判断，这封邮件的的确确是由Github官方发出的

• spf=pass
• dkim=pass
• dmarc=pass 但是这里不正常：
• X-Github-Reason: mention 结合邮件末尾的一行小字： You are receiving this because you were mentioned.基本可以确定，诈骗方在一个issue内评论了这封邮件的内容，再@了抄送这封邮件在内的人，使得我们作为抄送人，收到了以这封邮件作为载体的issue的mention。 大家小心一点，不要上当受骗哦。

受害者反馈及技术分析：github.com/orgs/commun…